Azure AD Connect: Konfigurowanie AD DS konta łącznika usługi

Moduł programu PowerShell o nazwie ADSyncConfig.psm1 został wprowadzony w kompilacji 1.1.880.0 (wydanej w sierpniu 2018 r.), która zawiera kolekcję poleceń cmdlet, które ułatwiają konfigurowanie odpowiednich uprawnień usługi Active Directory dla wdrożenia usługi Azure AD Connect.

Omówienie

Następujące polecenia cmdlet programu PowerShell mogą służyć do konfigurowania uprawnień usługi Active Directory konta łącznika usługi AD DS dla każdej funkcji wybranej do włączenia w programie Azure AD Connect. Aby uniknąć problemów, należy przygotować uprawnienia usługi Active Directory z wyprzedzeniem zawsze wtedy, gdy chcesz zainstalować usługę Azure AD Connect użyciu niestandardowego konta domeny w celu nawiązania połączenia z lasem. Ten moduł ADSyncConfig może również służyć do konfigurowania uprawnień Azure AD Connect wdrożenia.

omówienie konta usług AD DS

W przypadku instalacji usługi Azure AD Connect Express automatycznie generowane konto (MSOL_nnnnnnnnnn) jest tworzone w usłudze Active Directory ze wszystkimi niezbędnymi uprawnieniami, więc nie ma potrzeby używania tego modułu ADSyncConfig, chyba że zablokowano dziedziczenie uprawnień w jednostkach organizacyjnych lub określonych obiektach usługi Active Directory, które chcesz zsynchronizować z usługą Azure AD.

Podsumowanie uprawnień

W poniższej tabeli przedstawiono podsumowanie uprawnień wymaganych do obiektów usługi AD:

Cecha Uprawnienia
Funkcja ms-DS-ConsistencyGuid Uprawnienia do odczytu i zapisu do atrybutu ms-DS-ConsistencyGuid udokumentowane w dokumencie Design Concepts - Using ms-DS-ConsistencyGuid as sourceAnchor (Pojęcia dotyczące projektowania — używanie atrybutu ms-DS-ConsistencyGuid jako atrybutu sourceAnchor).
Synchronizacja skrótów haseł
  • Replikowanie zmian katalogu
  • Replikowanie wszystkich zmian katalogu
  • Wdrożenie hybrydowe programu Exchange Uprawnienia do odczytu i zapisu do atrybutów udokumentowanych w hybrydowym zapisie zwrotowym programu Exchange dla użytkowników, grup i kontaktów.
    Folder publiczny poczty programu Exchange Uprawnienia do odczytu atrybutów udokumentowanych w folderze publicznym poczty programu Exchange dla folderów publicznych.
    Zapisywanie zwrotne haseł Uprawnienia do odczytu i zapisu atrybutów udokumentowane w te tematze Wprowadzenie do zarządzania hasłami dla użytkowników.
    Zapisywanie zwrotne urządzeń Uprawnienia do odczytu i zapisu do obiektów urządzeń i kontenerów udokumentowane w te tematze zapisu zwrotnego urządzeń.
    Zapisywanie zwrotne grup Odczyt, tworzenie, aktualizowanie i usuwanie obiektów grup dla zsynchronizowanych grup usługi Office 365.

    Korzystanie z modułu ADSyncConfig programu PowerShell

    Moduł ADSyncConfig wymaga narzędzia Narzędzia administracji zdalnej serwera (RSAT) dla AD DS ponieważ zależy AD DS programu PowerShell i narzędzi. Aby zainstalować program RSAT dla AD DS, otwórz okno Windows PowerShell z poleceniem "Uruchom jako administrator" i wykonaj polecenie:

    Install-WindowsFeature RSAT-AD-Tools 
    

    Konfigurowanie

    Uwaga

    Możesz również skopiować plik C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\ADSyncConfig.psm1 do kontrolera domeny, na którym jest już zainstalowany program RSAT dla programu AD DS, i użyć tego modułu programu PowerShell. Należy pamiętać, że niektóre polecenia cmdlet można uruchamiać tylko na komputerze hostującym Azure AD Connect.

    Aby rozpocząć korzystanie z narzędzia ADSyncConfig, należy załadować moduł w Windows PowerShell oknie:

    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
    

    Aby sprawdzić wszystkie polecenia cmdlet zawarte w tym module, możesz wpisać:

    Get-Command -Module AdSyncConfig  
    

    Zaznacz

    Każde polecenie cmdlet ma te same parametry, aby wprowadzić AD DS łącznika i przełącznik AdminSDHolder. Aby określić konto AD DS łącznika, możesz podać nazwę konta i domenę lub po prostu nazwę wyróżniającą (DN, Distinguished Name) konta.

    Na przykład:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
    

    Lub;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
    

    Pamiętaj, aby zastąpić <ADAccountName> wartości <ADDomainName> i <ADAccountDN> wartościami właściwymi dla środowiska.

    Jeśli nie chcesz modyfikować uprawnień w kontenerze AdminSDHolder, użyj przełącznika -SkipAdminSdHolders .

    Domyślnie wszystkie ustawione polecenia cmdlet uprawnień będą próbowały ustawić uprawnienia usługi AD DS w katalogu głównym każdej domeny w lesie, co oznacza, że użytkownik uruchamiając sesję programu PowerShell wymaga uprawnień administratora domeny w każdej domenie w lesie. Ze względu na to wymaganie zaleca się użycie administratora przedsiębiorstwa z katalogu głównego lasu. Jeśli wdrożenie Azure AD Connect ma wiele łączników AD DS, będzie wymagane uruchomienie tego samego polecenia cmdlet w każdym lesie, który ma łącznik AD DS łącznika.

    Można również ustawić uprawnienia dla określonej AD DS obiektu, używając parametru, po którym następuje nazwa wyróżniająka obiektu docelowego, w którym -ADobjectDN chcesz ustawić uprawnienia. W przypadku korzystania z docelowej nazwy ADobjectDN polecenie cmdlet ustawi uprawnienia tylko do tego obiektu, a nie do głównego kontenera domeny ani kontenera AdminSDHolder. Ten parametr może być przydatny w przypadku niektórych obiektów AD DS, które mają wyłączone dziedziczenie uprawnień (zobacz Lokalizowanie obiektów AD DS z wyłączonym dziedziczeniem uprawnień)

    Wyjątki od tych typowych parametrów to polecenie cmdlet służące do ustawienia uprawnień na samym koncie łącznika usługi AD DS oraz polecenie cmdlet , ponieważ uprawnienia wymagane do synchronizacji skrótów haseł są ustawiane tylko w katalogu głównym domeny, dlatego to polecenie Set-ADSyncRestrictedPermissions cmdlet nie zawiera parametrów Set-ADSyncPasswordHashSyncPermissions -ObjectDN ani -SkipAdminSdHolders .

    <a name="determine-your-ad-ds-connector-account">Określanie konta AD DS łącznika

    Jeśli Azure AD Connect jest już zainstalowany i chcesz sprawdzić, jakie konto łącznika AD DS jest obecnie Azure AD Connect, możesz wykonać polecenie cmdlet:

    Get-ADSyncADConnectorAccount 
    

    Lokalizowanie AD DS z wyłączonym dziedziczeniem uprawnień

    Jeśli chcesz sprawdzić, czy istnieje jakikolwiek obiekt AD DS z wyłączonym dziedziczeniem uprawnień, możesz uruchomić:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' 
    

    Domyślnie to polecenie cmdlet będzie szukać tylko obiektów operacyjnych z wyłączonym dziedziczeniem, ale można określić inne klasy obiektów AD DS w parametrze lub użyć "*" dla wszystkich klas obiektów -ObjectClass w następujący sposób:

    Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass * 
    

    Wyświetlanie AD DS obiektu

    Możesz użyć poniższego polecenia cmdlet, aby wyświetlić listę uprawnień aktualnie ustawionych dla obiektu usługi Active Directory, podając jego nazwę wyróżniającą:

    Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>' 
    

    Azure AD Connect: konfigurowanie konta łącznika usługi AD DS

    Konfigurowanie uprawnień Read-Only podstawowych

    Aby ustawić podstawowe uprawnienia tylko do odczytu dla konta AD DS Connector, gdy nie jest Azure AD Connect żadnej funkcji, uruchom:

    Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    lub;

    Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    To polecenie cmdlet ustawi następujące uprawnienia:

    Typ Nazwa Access Dotyczy:
    Zezwalaj AD DS łącznika Odczytywanie wszystkich właściwości Obiekty potomne urządzeń
    Zezwalaj AD DS łącznika Odczytywanie wszystkich właściwości Obiekty potomne InetOrgPerson
    Zezwalaj AD DS łącznika Odczytywanie wszystkich właściwości Obiekty komputerów potomnych
    Zezwalaj AD DS łącznika Odczytywanie wszystkich właściwości Potomne obiekty foreignSecurityPrincipal
    Zezwalaj AD DS łącznika Odczytywanie wszystkich właściwości Obiekty grupy potomnych
    Zezwalaj AD DS łącznika Odczytywanie wszystkich właściwości Obiekty potomne użytkownika
    Zezwalaj AD DS łącznika Odczytywanie wszystkich właściwości Obiekty potomne kontaktów

    Konfigurowanie uprawnień identyfikatora GUID MS-DS-Consistency-Guid

    Aby ustawić uprawnienia dla konta łącznika usługi AD DS w przypadku używania atrybutu ms-Ds-Consistency-Guid jako zakotwiczenia źródła (znanego również jako opcja "Pozwól platformie Azure zarządzać zakotwiczeniami źródła"), uruchom:

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    lub;

    Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    To polecenie cmdlet ustawi następujące uprawnienia:

    Typ Nazwa Access Dotyczy:
    Zezwalaj AD DS łącznika Właściwość Odczyt/Zapis Obiekty potomne użytkownika

    Uprawnienia do synchronizacji skrótów haseł

    Aby ustawić uprawnienia dla konta AD DS Connector podczas korzystania z synchronizacji skrótów haseł, uruchom:

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>] 
    

    lub;

    Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>] 
    

    To polecenie cmdlet ustawi następujące uprawnienia:

    Typ Nazwa Access Dotyczy:
    Zezwalaj AD DS łącznika Replikowanie zmian katalogu Tylko ten obiekt (główny katalog domeny)
    Zezwalaj AD DS łącznika Replikowanie wszystkich zmian katalogu Tylko ten obiekt (główny katalog domeny)

    Uprawnienia do zapisu zwrotnego haseł

    Aby ustawić uprawnienia dla konta AD DS Connector podczas korzystania z funkcji zapisu zwrotnego haseł, uruchom:

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    lub;

    Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    To polecenie cmdlet ustawi następujące uprawnienia:

    Typ Nazwa Access Dotyczy:
    Zezwalaj AD DS łącznika Resetowanie hasła Obiekty potomne użytkownika
    Zezwalaj AD DS łącznika Zapis właściwości lockoutTime Obiekty potomne użytkownika
    Zezwalaj AD DS łącznika Właściwość write pwdLastSet Obiekty potomne użytkownika

    Uprawnienia do zapisu zwrotnego grup

    Aby ustawić uprawnienia dla konta AD DS Connector podczas korzystania z funkcji zapisu zwrotnego grup, uruchom:

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    lub;

    Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
    

    To polecenie cmdlet ustawi następujące uprawnienia:

    Typ Nazwa Access Dotyczy:
    Zezwalaj AD DS łącznika Ogólny odczyt/zapis Wszystkie atrybuty grupy typów obiektów i podobiektów
    Zezwalaj AD DS łącznika Tworzenie/usuwanie obiektu podrzędnego Wszystkie atrybuty grupy typów obiektów i podobiektów
    Zezwalaj AD DS łącznika Usuwanie/usuwanie obiektów drzewa Wszystkie atrybuty grupy typów obiektów i podobiektów

    Uprawnienia do wdrożenia hybrydowego programu Exchange

    Aby ustawić uprawnienia dla konta AD DS Connector podczas korzystania z wdrożenia hybrydowego programu Exchange, uruchom:

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    lub;

    Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    To polecenie cmdlet ustawi następujące uprawnienia:

    Typ Nazwa Access Dotyczy:
    Zezwalaj AD DS łącznika Odczytywanie/zapis wszystkich właściwości Obiekty potomne użytkownika
    Zezwalaj AD DS łącznika Odczytywanie/zapis wszystkich właściwości Obiekty podrzędne InetOrgPerson
    Zezwalaj AD DS łącznika Odczytywanie/zapis wszystkich właściwości Obiekty grupy potomnych
    Zezwalaj AD DS łącznika Odczytywanie/zapis wszystkich właściwości Obiekty potomne kontaktów

    Uprawnienia dla folderów publicznych poczty programu Exchange (wersja zapoznawcza)

    Aby ustawić uprawnienia dla konta AD DS Connector w przypadku korzystania z funkcji folderów publicznych poczty programu Exchange, uruchom:

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-SkipAdminSdHolders] [<CommonParameters>] 
    

    lub;

    Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>] 
    

    To polecenie cmdlet ustawi następujące uprawnienia:

    Typ Nazwa Access Dotyczy:
    Zezwalaj AD DS łącznika Odczytywanie wszystkich właściwości Obiekty podrzędne PublicFolder

    Ograniczanie uprawnień do konta AD DS łącznika usługi

    Ten skrypt programu PowerShell spowoduje zaostrzenie uprawnień dla konta łącznika usługi AD podanego jako parametr. Zaostrzenie uprawnień obejmuje następujące kroki:

    • Wyłączanie dziedziczenia dla określonego obiektu

    • Usuń wszystkie listy A ACE dla określonego obiektu, z wyjątkiem listy A ACE specyficznej dla siebie, ponieważ chcemy zachować domyślne uprawnienia bez zmian, jeśli chodzi o SAMO.

      Parametr -ADConnectorAccountDN to konto usługi AD, którego uprawnienia należy zaostrzyć. Zazwyczaj jest to konto MSOL_nnnnnnnnnnnn konfigurowane w łączniku usługi AD DS (zobacz Określanie konta AD DS Connector). Parametr -Credential jest niezbędny do określenia konta administratora, które ma uprawnienia niezbędne do ograniczenia uprawnień usługi Active Directory do docelowego obiektu usługi AD. Zazwyczaj jest to administrator przedsiębiorstwa lub domeny.

    Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>] 
    

    Na przykład:

    $credential = Get-Credential 
    Set-ADSyncRestrictedPermissions -ADConnectorAccountDN'CN=ADConnectorAccount,CN=Users,DC=Contoso,DC=com' -Credential $credential  
    

    To polecenie cmdlet ustawi następujące uprawnienia:

    Typ Nazwa Access Dotyczy:
    Zezwalaj SYSTEM Pełna kontrola Ten obiekt
    Zezwalaj Enterprise Admins Pełna kontrola Ten obiekt
    Zezwalaj Administratorzy domeny Pełna kontrola Ten obiekt
    Zezwalaj Administratorzy Pełna kontrola Ten obiekt
    Zezwalaj Kontrolery domeny przedsiębiorstwa Lista zawartości Ten obiekt
    Zezwalaj Kontrolery domeny przedsiębiorstwa Odczyt wszystkich właściwości Ten obiekt
    Zezwalaj Kontrolery domeny przedsiębiorstwa Uprawnienia do odczytu Ten obiekt
    Zezwalaj Uwierzytelnieni użytkownicy Zawartość listy Ten obiekt
    Zezwalaj Uwierzytelnieni użytkownicy Odczyt wszystkich właściwości Ten obiekt
    Zezwalaj Uwierzytelnieni użytkownicy Uprawnienia do odczytu Ten obiekt

    Następne kroki